信息化觀察網

本文來自微信公眾號“嘶吼專業(yè)版”，作者/胡金魚。

黑客一直在利用Progress Software的WhatsUp Gold網絡可用性和性能監(jiān)控解決方案中兩個嚴重漏洞的公開漏洞代碼。

自8月30日以來，攻擊中利用的兩個漏洞是SQL注入漏洞，跟蹤編號為CVE-2024-6670和CVE-2024-6671，漏洞允許在未經身份驗證的情況下檢索加密密碼。

盡管相關工作人員在兩周前就解決了安全問題，但許多客戶仍然需要更新軟件，而威脅者正在利用這一漏洞發(fā)起攻擊。

Progress Software于8月16日發(fā)布了針對該問題的安全更新，并于9月10日在安全公告中添加了如何檢測潛在危害的說明。

安全研究員Sina Kheirkhah發(fā)現(xiàn)了這些漏洞，并于5月22日將其報告給零日計劃。8月30日，該研究員發(fā)布了概念驗證(PoC)漏洞。

該研究員在技術文章中解釋了如何利用用戶輸入中不適當的清理問題將任意密碼插入管理員帳戶的密碼字段，從而使其容易被接管。

Kheirkhah的漏洞概述

野外開發(fā)

網絡安全公司最新的報告指出，黑客已經開始利用這些漏洞，根據觀察，這些攻擊似乎基于Kheirkhah的PoC，用于繞過身份驗證并進入遠程代碼執(zhí)行和有效載荷部署階段。在研究人員發(fā)布PoC漏洞代碼五小時后，安全公司的遙測技術首次發(fā)現(xiàn)了主動攻擊的跡象。

攻擊者利用WhatsUp Gold的合法Active Monitor PowerShell Script功能，通過從遠程URL檢索的NmPoller.exe運行多個PowerShell腳本。

攻擊者部署的惡意PowerShell腳本

接下來，攻擊者使用合法的Windows實用程序“msiexec.exe”通過MSI包安裝各種遠程訪問工具(RAT)，包括Atera Agent、Radmin、SimpleHelp Remote Access和Splashtop Remote。

植入這些RAT可讓攻擊者在受感染的系統(tǒng)上建立持久性。

在某些情況下，研究人員觀察到部署了多個有效載荷。分析師無法將這些攻擊歸因于特定的威脅組織，但使用多個RAT表明它可能是勒索軟件參與者。

觀察到的活動的攻擊流程

據了解，這并不是WhatsUp Gold今年第一次受到公開漏洞的攻擊。8月初，威脅監(jiān)測組織Shadowserver Foundation報告稱，其蜜罐捕獲了利用CVE-2024-4885的攻擊，CVE-2024-4885是一個于2024年6月25日披露的嚴重遠程代碼執(zhí)行漏洞。這個缺陷也被Kheirkhah發(fā)現(xiàn)，兩周后他在社交媒體上公布了完整的詳細信息。